A CentreStack súlyos kriptográfiai hibája nyit kaput az adatlopásnak

A hackerek új, eddig dokumentálatlan sérülékenységet használnak ki a Gladinet CentreStack és Triofox fájlmegosztó rendszereiben, amellyel távoli kódfuttatást érhetnek el. A biztonsági rés lehetővé teszi a támadók számára a beégetett titkosítási kulcsok megszerzését, így teljes hozzáférést kapnak a rendszerekhez.

Állandó kulcs, egyszerű támadás

A probléma gyökere a cég saját fejlesztésű AES-titkosítási megoldásában rejlik: a titkosítási kulcsot és az inicializációs vektort konkrétan beleírták a GladCtrl64.dll fájlba, ráadásul mindkettő két statikus, teljesen azonos, kínai és japán nyelvű karakterláncból származik minden telepítésnél. Ezekkel a kulcsokkal a támadók képesek az úgynevezett hozzáférési jegyeket (Access Tickets) visszafejteni, amelyek érzékeny adatokat – fájl-elérési utakat, felhasználóneveket, jelszavakat és időbélyegeket – rejtenek, vagy akár saját jogosultságokat generálniuk, és gyakorlatilag bármilyen fájlhoz hozzáférhetnek a szerveren.

Nincs lejárat, könnyű beszivárgás

A támadók nem csupán hamis hozzáférési jegyeket (Access Tickets) kreáltak – időbélyegüket a 9999-es évre állították, így a hozzáférés sosem jár le. Ezek után célzottan lekérték a szerver „web.config” fájlját, amellyel kihasználhatták a ViewState-deszerializációs hibát, és távoli kódot futtathattak a rendszeren. Végül legalább kilenc szervezetnél azonosítottak jogosulatlan hozzáférést, köztük egészségügyi és technológiai cégeknél. A leggyanúsabb támadói IP-cím: 147.124.216.205.

Frissíts, ha számít az adataid biztonsága!

A Gladinet ügyfeleinek sürgősen érdemes a szoftvert a 16.12.10420.56791-es verzióra frissíteni, valamint a machineKey-kulcsokat is cserélni. Érdemes átnézni a naplókat a „vghpI7EToZUDIZDdprSubL3mTZ2” karakterlánc után kutatva – ez az egyetlen biztos jele a kompromittálódásnak. További védelmi tanácsokat a Huntress kiberbiztonsági csapatának jelentése nyújt.

2025, adrienne, www.bleepingcomputer.com alapján